问题——制度框架逐步完善,落地环节仍存“堵点”。
个人信息保护法施行以来,相关制度为数据处理活动划定了边界,但在具体实践中,一些用户仍面临“不同意就无法使用”的授权困境,隐私政策冗长复杂、提示方式流于形式等现象较为突出。
代表马一德认为,这种看似“用户自愿”的选择机制,容易演变为流程化确认,难以形成有效的风险告知与权益保障。
原因——利益结构与技术壁垒叠加,导致执行难、维权难。
一方面,平台在数据处理链条中掌握技术、资源与规则制定优势,用户个体对信息流向、用途范围、共享对象往往缺乏可视化认知。
另一方面,个人信息侵权具有“大规模、微损害”的典型特征:单个用户损失不易量化、证据获取成本高、诉讼周期长,现实中维权动力不足,侵害行为可能长期隐蔽存在。
此外,部分企业合规能力参差不齐,内控制度、数据审查、权限管理等环节存在短板,也加大了监管与执法的复杂度。
影响——既关系群众安全感,也影响数字经济可持续发展。
个人信息泄露、过度采集与不当使用,不仅可能引发骚扰营销、精准诈骗等现实风险,也会削弱公众对数字服务的信任基础。
与此同时,新兴产业快速发展对数据要素依赖增强,特别是生成式技术在训练与迭代过程中涉及数据收集、聚合、再利用等环节,容易触及个人信息处理的核心要求。
企业若缺乏清晰可操作的合规路径,可能面临成本上升、研发周期拉长等压力;若放松底线,又可能带来安全风险与治理失序。
如何在安全与发展之间形成可预期、可执行的制度安排,成为必须回应的现实课题。
对策——以执法检查为抓手,推动从“形式合规”走向“实质保护”。
代表建议开展针对性执法检查,深入智能设备制造、网络平台、相关技术企业等重点领域了解情况,并广泛听取普通网民、信息泄露受害者及遭遇电信网络诈骗群体的意见建议。
通过检查,既要查清违法违规的高发环节,也要总结可复制的合规做法,形成问题清单与改进路径,推动解决“高水平立法、低水平实施”现象。
同时,治理重点应从单一事后追责向全过程风险防控延伸,推动平台企业从“被动遵法”转向“主动护权”。
可通过行业自律、监管约束与正向激励协同发力,引导企业完善数据分类分级、最小必要采集、权限控制、审计追踪、第三方合作管理等制度,提升合规能力与治理水平,使平台真正成为个人信息保护的“第一道防线”。
在用户侧,应提升告知与选择的有效性,减少“捆绑授权”“一揽子同意”等做法,让用户在可理解、可操作的前提下作出真实决定。
前景——以检查促整改、以评估促完善,为首次全面修订夯基。
马一德提出,可根据执法检查形成的评估结论,系统梳理法律实施的痛点难点与成功经验,研究推动个人信息保护法首次全面修订的条件与重点方向,增强制度的可执行性与适配性。
随着数字化深入推进,个人信息保护将从单点治理走向体系治理:既要守牢安全底线、提升违法成本,也要通过更清晰的规则与更可操作的标准,为技术创新与产业发展提供稳定预期,推动形成安全与发展相互促进的良性格局。
科技进步的最终目的是让人们生活得更安全、更便捷。
个人信息保护不是技术发展的障碍,而是确保技术向善的制度保障。
通过执法检查推动法律实施从"高水平"走向"高质量",在保护个人权益与促进产业创新之间找到最佳平衡点,既是对五年立法实践的系统总结,更是面向未来的制度完善。
唯有让法律真正"长出牙齿",才能在数字时代为每个人筑牢可靠的隐私防护网,让技术发展真正服务于人的全面发展。